La denuncia penale presentata in Austria dall’organizzazione noyb contro Clearview AI segna un punto di svolta nel panorama della protezione dei dati. Per la prima volta in Europa l’azione legale non riguarda sanzioni amministrative, ma la responsabilità penale dei dirigenti di una società di intelligenza artificiale accusata di violare il GDPR. L’obiettivo è attribuire conseguenze concrete a chi ha tratto vantaggio economico da un uso illecito di immagini biometriche di cittadini europei, superando l’inefficacia delle multe mai riscosse negli anni scorsi.
Un vuoto normativo che diventa terreno di sperimentazione
Clearview AI, società statunitense specializzata in riconoscimento facciale, era già stata sanzionata da diverse autorità europee, tra cui quelle di Italia, Francia, Grecia e Paesi Bassi, per un importo complessivo di circa 95,7 milioni di euro. Nessuna delle multe è però mai stata eseguita. L’assenza di una sede o di beni nell’Unione ha reso impossibile l’enforcement. L’azione promossa da noyb tenta di colmare questo vuoto, introducendo il tema della responsabilità personale dei dirigenti come nuovo strumento di deterrenza.
Il nodo dell’extraterritorialità del GDPR
La vicenda tocca uno dei punti più complessi del diritto digitale: l’applicazione del regolamento europeo oltre i confini dell’Unione. L’articolo 3 del GDPR stabilisce che la normativa si estende anche ai soggetti stabiliti fuori dall’UE quando trattano dati di persone che si trovano nel territorio europeo. Tuttavia, in assenza di rappresentanti o sedi nel continente, l’effettività delle sanzioni rimane incerta. Clearview ha sostenuto di non operare stabilmente nel mercato europeo, ma le autorità della privacy hanno ritenuto che la raccolta e l’indicizzazione di immagini di cittadini europei costituiscano di per sé un trattamento soggetto alle regole comunitarie. Se accolta, la denuncia austriaca potrebbe creare un precedente capace di rafforzare l’autorità del GDPR anche oltre i confini geografici dell’Europa.
Verso un nuovo modello di responsabilità digitale
Il caso Clearview arriva mentre l’Unione europea si prepara all’entrata in vigore dell’AI Act, la nuova normativa che regolerà i sistemi di intelligenza artificiale e, in particolare, l’uso dei dati biometrici. Il combinato tra GDPR e AI Act potrebbe generare un nuovo livello di responsabilità integrata, che coinvolge non solo chi utilizza tecnologie basate su dati sensibili, ma anche chi le sviluppa e commercializza. In questo scenario, la trasparenza dei dataset e il consenso degli interessati diventano elementi strutturali del modello di business, non semplici adempimenti formali.
La vicenda austriaca mette così in luce la crescente esigenza di un enforcement più incisivo e coerente con la complessità dell’economia digitale. La privacy non può più essere considerata solo una questione di compliance, ma un pilastro etico e giuridico su cui costruire fiducia e valore.
